Domain Name System Security Extensions (DNSSEC)

DNSSEC is een uitbreiding op het Domain Name System (DNS). Weet je niet precies wat het DNS is? Hieronder vind je een korte uitleg.

DNS, het online postcodesysteem

DNS kun je zien als een online postcodesysteem; wanneer jij het adres van een website intypt in de url-balk, zorgt het DNS er op de achtergrond voor dat je bij het juiste IP-adres uitkomt. Je wordt daarbij doorgestuurd naar het IP-adres van de server waarop de betreffende website zich bevindt.

Helaas zijn sommige hackers in staat om de DNS-route te laten afbuigen naar een andere webserver. Hierdoor kunnen ze jou naar een kopie van de website leiden. Wanneer je daarna bijvoorbeeld een betaling doet via de nepsite, komen jouw persoonlijke gegevens in verkeerde handen terecht. Dit wordt ook wel 'spoofing' genoemd.

Wat is DNSSEC?

Om spoofing te voorkomen, is DNSSEC (Domain Name System Security Extensions) bedacht. Dit is een extra beveiligingslaag voor DNS-verificatie. Gebruikt een domeinnaam DNSSEC? Dan worden de DNS-records van deze domeinnaam voorzien van een digitale handtekening. Hiermee wordt het hackers onmogelijk gemaakt om bezoekers naar een andere server te leiden.

Hoe werkt DNSSEC?

De technische werking van DNSSEC is als volgt:

• DNS-records worden ondertekend met een public en private 'Zone Signing Key' (ZSK).
• Een 'Key Signing Key' (KSK) controleert de ZSK op geldigheid. Hiermee vindt een tweede ondertekening plaats, zodat er niet met de ZSK kan worden gerommeld.
• Zowel de public ZSK als de public KSK worden ondertekend met de private KSK. Zo valideert de public KSK de public ZSK.

Het internet bestaat uit meer dan 1 zone. Voor een beveiligde DNSSEC-integratie is daarom een 'chain of trust' nodig. DNSSEC waarborgt dit met een 'delegation signer' (DS)-record. Hiermee wordt de vertrouwde ondertekening overgedragen van de 'parent zone' naar een 'child zone'.

Het DS-record toont aan DNS-vertalers ('resolvers') dat de child zones gebruikmaken van DNSSEC. Om te valideren dat de ondertekening van de child zone betrouwbaar is, versleutelt de DNS-vertaler de KSK van de child zone. Deze vergelijkt hij met het DS-record van de parent zone. Wanneer deze overeenkomen, bevestigt de resolver dat er tussentijds niet geknoeid is met de waardes.

Het verschil tussen https en DNSSEC

Https zorgt voor een versleutelde websiteverbinding met behulp van encryptie. DNSSEC zorgt voor het ondertekenen van DNS-records, zodat valse waardes worden tegengehouden. Ook wanneer je website beveiligd is met SSL (https), kunnen bezoekers door hackers worden omgeleid via het DNS. Een SSL-certificaat biedt dus geen bescherming tegen spoofing, en DNSSEC wel.

DNSSEC bij Hostnet

Heb je een .nl, .be, .eu, .uk, .nu, .se of .co.nl domeinnaam bij Hostnet? Dan gebruik je standaard DNSSEC. Als je de Hostnet-nameservers gebruikt, beheren wij DNSSEC voor je. Bij externe nameservers kun je DNSSEC zelf beheren via Mijn Hostnet:

• Log in op Mijn Hostnet.
• Ga naar 'Diensten'.
• Klik op de domeinnaam waarvoor je DNSSEC wilt beheren.
• Kies onder 'Beheer je dienst' voor 'DNSSEC beheren'.
• Selecteer onder 'DNSSEC-instellingen' de optie 'Inschakelen'.
• Laat ons via de knop 'Toevoegen' weten welke DNSSEC-records wij mogen instellen. Deze records vraag je op bij de partij die jouw nameservers beheert.
• Klik op 'Opslaan'. De records worden nu ingesteld.